“해킹, 찍히면 못막아”

“해킹, 찍히면 못막아”: 전성운 / 기사승인 : 2012-01-09 15:07:08

작년 국내·외 ‘해킹대란’…기업들 ‘비상’

작년 세계 IT분야의 가장 큰 이슈는 바로 ‘보안’이었다. 소니(Sony)의 플레이스테이션네트워크(PSN) 해킹사건을 시작으로 본격적으로 달아오르기 시작한 해킹이슈는 이후 전 세계로 확산돼 마치 ‘사이버 전쟁’을 방불케 했다. 국내도 예외는 아니어서 ‘3·4 디도스 공격’을 시작으로 현대캐피탈 해킹, 농협 전산망 마비등 연이어 터진 대형 사고는 일반인들에게도 ‘보안’의 중요성을 인식 시키는데 충분했다.

▲ 작년 4월 농협 전산망이 한달 가까이 마비되는 사태가 발생했지만 농협 전산망은 이후에도 크고작은 ‘사고’가 계속 발생하고 있다. 전문가들은 “소 잃고 외양간도 안고치고 있다”는 지적이다. 사진은 충정로에 위치한 농협중앙회 건물.

작년 한해 전 세계 IT분야의 가장 큰 화두는 ‘보안’이었다. 수많은 기업과 국가들이 해커들과 ‘전쟁’을 방불케 하는 싸움을 벌였지만 해커들은 항복하지 않았고 전쟁은 현재 진행형이다.

국내 또한 별반 다르지 못한 상황이다. 3·4 디도스(DDoS)공격을 시작으로 현대캐피탈 개인정보유출, 농협 전산망마비 등 굵직한 보안사고가 계속 터져 올 한해 국내에서는 그 어느때보다 많은 정보보안 이슈가 발생했다.

◇ “안뚫린 곳이 없다”

‘3·4 디도스 공격’은 3월 3일부터 5일까지 청와대, 국방부, 국가정보원 등 국내 주요 정부기관과 국민은행, 네이버 등 국내 주요 40개 사이트를 대상으로 발생한 분산 서비스 거부 공격(DDoS)이다.

P2P 사이트를 통해 악성코드를 감염시켜 만든 총 11만 5,000여 대의 좀비PC로 시도된 공격이었으나 공격시기와 대상이 사전에 알려져 큰 피해를 입히진 못했다. 그러나 “지난 2009년 ‘7.7 디도스 대란’과 유사하면서도 더욱 업그레이드된 공격”이라고 관계기관들은 분석했다.

4월엔 현대캐피탈에서 약 42만 명에 달하는 고객들의 신용정보가 해킹 당했다. 해커는 업무관리자 아이디와 비밀번호를 습득한 후 보조서버인 광고메일발송 서버와 정비내역조회 서버에 침입해 고객정보를 빼낸 것으로 알려졌다.

현대캐피탈은 “유출된 175만 명의 고객 정보 가운데 133만 명분을 회수했으며, 2차 피해 신고는 없다”고 밝혔다. 해킹의 목적이 현대캐피탈에 대한 협박이었기 때문에 2차 피해가 없었던 것으로 보인다. 금감원은 “서버에 접근할 수 있는 계정과 비밀번호 관리에 허점을 드러냈기 때문”이라고 지적했다.

현대캐피탈 해킹직후인 4월 12일엔 농협의 전국 영업점, 자동화기기, 온라인뱅킹 등 모든 금융 거래가 마비되는 사상 초유의 사태가 발생했다. 이후 농협 금융 업무가 정상화가 되기까지는 10일 이상, 시스템이 완전 복구되기까지는 무려 한 달이 걸렸다.

검찰은 “북한 정찰총국이 주도한 사이버 테러”로 규정했다. 검찰은 “사건의 핵심 직원의 노트북에서 발견된 악성코드를 분석한 결과 암호화방식 등 제작기법이 앞선 2차례의 디도스 공격때와 유사했기 때문”이라고 설명했다.

농협과 고객들은 서비스 중단이라는 피해를 입었지만, 해킹 목적이 고객 정보인지 거래정보인지 혹은 그 이상의 무엇인지 모른다는 점이 더 큰 문제다. 그러나 이후에도 고객 정보나 거래 내역 정보 유출에 대해서는 별도로 거론되지 않았다.

농협 전산망 마비 사태는 해킹 주체가 누구든, 해킹 목적을 달성해 시스템마저 파괴한 뒤 종적마저 감춘 최악의 보안 사건이었다. 그러나 농협은 소 잃고도 외양간마저 고치지 않았다. 농협은 이후 “최고 수준의 보안 시스템을 구축 하겠다”고 밝혔지만 사건은 계속됐다.

5월 19일에는 일부 인터넷뱅킹과 창구 업무, 카드 조회 등에 3시간가량 장애가 발생했으며, 6월 16일에는 농협계열사인 NH투자증권의 홈트레이딩시스템에 투자자 10여 명의 거래 내역이 실시간으로 노출됐다. 이에는 투자자 이름과 계좌번호, 체결 종목, 가격 등이 포함됐다. 그 이후에도 농협 전산망은 수시로 문제를 일으키고 있는 상태다.

7월엔 SK컴즈의 네이트가 해킹당해 사용자 3500만 명의 개인정보가 유출됐다. 해커들은 이스트소프트의 알집(Alzip) 프로그램 업데이트 서버를 해킹해 업데이트 파일에 악성코드를 심는 수법으로 SK컴즈의 내부PC를 좀비 PC로 만들었다.

이 후 이를 원격 조정해 관리자 권한으로 DB 서버에 접속, 네이트와 싸이월드의 3500만 회원정보를 빼냈다. 경찰은 유출된 개인정보가 중국에 할당된 IP로 넘어갔다고 밝혔다. 이로 인해 네이트 사용자들은 집단 소송을 했고, 법원에서는 이 사건과 연관이 없는, 네이트 사용자가 아닌 법관을 찾는데 어려움을 겪었다고 알려졌다.

11월엔 넥슨의 온라인게임인 메이플스토리의 백업 서버가 해킹돼 약 1,320만 명의 개인정보가 유출됐다. 현재까지도 해킹 방법과 유출 경로를 파악하지 못한 상태다. 경찰은 “해커들이 더욱 교묘해져 침입 경로 등 증거를 찾는데 시간이 더 걸리고 있다”고 전했다.

해킹은 공공기관에서도 발생했다. 10·26 서울 시장 재보궐 선거일 오전 중앙선거관리위원회 홈페이지와 박원순 시장의 홈페이지가 디도스 공격을 받는 사건이 발생했고 여기에 현직 정치인의 보좌진들까지 연류 되면서 이 사건은 단순한 IT 문제가 아닌 정치 문제로 이슈로 부각됐다.

그러나 당시 선관위 홈페이지는 디도스 공격을 받았다고 보기엔 의심스러운 징후들이 많이 발견됐다. 때문에 일각에서는 “선관위의 홈페이지는 디도스 공격을 받았지만, 디도스 공격 방어시스템은 정상적으로 작동했다”며 “내부자가 의도적으로 DB를 차단했을 가능성이 있다”는 ‘내부자 개입설’을 주장했다.

◇ “파괴하고 유유히 사라진 농협 사태”

일선 보안 담당자들은 “완벽한 보안을 장담할 수 있는 시스템은 없다”며 “일단 해킹의 대상으로 지목되면 당할 수밖에 없다”고 털어놓는다. 하드웨어에서부터, 네트워크, 인적 보안 등에 이르기까지 전체를 완벽하게 막을 수 있다고 장담하는 이가 있다면, 보안을 모르거나, 아니면 거짓말이라는 설명이다. “다만 최선을 다할 뿐”이라는 원론적인 대답뿐이다.

올해 밝혀진 정보유출 사고를 토대로 파악해 보면, 불특정 다수를 상대로 찔러보기 식의 해킹이 아닌 특정 대상을 뚫릴 때까지, 혹은 여러 곳을 공격해 먼저 뚫리는 곳을 들어가 은밀히 정보를 빼내는 것이 최근 해커들의 일반적인 방법이 됐다.

이는 최근 해킹 경향인 APT(Advance Persistent Threat)공격이다. APT는 분명한 목적을 갖고 지정된 대상의 방어벽이 뚫릴 때까지 다양한 해킹 방법을 시도, 뚫린 이후엔 원격으로 특정 데이터를 삭제하거나, 혹은 빼낸 뒤에 시스템을 파괴하고 달아난다.

현대캐피탈과 같은 금융권들과 네이트, 넥슨 등의 게임업계의 정보유출 사고는 그 해킹 방법은 다르지만, 고객 정보를 훔치겠다는 목적과 지속적인 공격을 감행한 것까지 전형적인 APT 공격이다.

정보가 유출됐다고 발표한 곳은 그나마 정보를 빼내고 있는 과정에서 잡아낸 것이다. 그러나 해커가 얼마나 많은 정보를 빼갔는지 모르기 때문에 일반적으론 해당 서버에 있는 모든 데이터를 빼갔다는 전제 하에 피해 규모를 발표한다.

보안사고 가운데 가장 무서운 것은 시스템이 파괴돼 시스템 운영 자체가 마비됐을 때다. 해커들이 자신이 원하는 모든 목적을 달성한 뒤, 자신의 흔적을 없애기 위해 파괴했을 가능성이 높기 때문이다. 보안 전문가들은 “농협 전산망 마비 사건의 경우가 최악의 사태라고 봐야할 것”이라고 말한다. 특정 목적 달성이후 유유히 사라진, 해커 입장에서는 완벽한 성공 사례이기 때문이다.